Bitcoin

Հարձակվողը կոտրում է Arbitrum's Treasure DAO-ն ավելի քան 100 NFT-ների համար՝ օգտագործելով շուկայական շահագործումը – Bitcoin News

03/04/2022
Bitcoin Ethereum Նորություններ
Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

Անվտանգության վրա կենտրոնացած Certik ընկերության հեղինակած հետմահու վերլուծության համաձայն՝ Treasure DAO կոչվող Treasure DAO-ի վերևում կառուցված նշանային շուկայի ոչ փոխարկվող հարթակը կոտրվել է մարտի 3-ին, առավոտյան ժամը 7:33-ին (EST): Ընկերության զեկույցում նշվում է, որ «հարձակման ժամանակ գողացվել են ավելի քան 100 NFT», քանի որ հարձակվողը խոցելիություն է օգտագործել շուկայի «գնորդը գնում է ապրանք» գործառույթում:

Certik-ի հետմահու վերլուծությունը ցույց է տալիս Arbitrum NFT Trading Platform Treasure DAO-ն, որն օգտագործվում է ավելի քան 100 NFT-ների համար

Arbitrum NFT Treasure DAO-ի առաջատար շուկան հինգշաբթի օրը հարձակման է ենթարկվել այն բանից հետո, երբ հարձակվողը հայտնաբերել է շահագործում, որը հանգեցրել է «ավելի քան 100 NFT-ների կորստի անկասկած օգտվողներից»: Հարձակման հետմահու վերլուծությունը ուղարկվել է Bitcoin.com News-ին բլոկչեյն անվտանգության Certik ընկերությունից, մի ընկերություն, որը վերլուծում, վերահսկում և գնահատում է խելացի պայմանագրերը, բլոկչեյն տեխնոլոգիաները և ապակենտրոնացված ֆինանսական (defi) արձանագրությունները:

«Treasure DAO-ը՝ NFT առևտրային հարթակ Arbitrum-ում, շահագործվել է անհայտ հարձակվողի կողմից, ով օգտվել է հարթակի կոդի թերությունից», - մանրամասնում է Certik-ի վերլուծությունը: «Շահագործումը հանգեցրեց ավելի քան 100 NFT-ների կորստի անկասկած օգտվողներից: Twitter-ում հաքերների դրամապանակի նախնական վերլուծությունից և հետքերից հետո բազմաթիվ գողացված NFT-ներ վերադարձվեցին»:

պատկեր
Հարձակվողը կոտրում է Arbitrum's Treasure DAO-ն ավելի քան 100 NFT-ների համար՝ օգտագործելով Marketplace Exploit-ը:
«Հարձակվողն օգտվել է շուկայի Buyer.buyItem ֆունկցիայի սխալից, որը թույլ է տվել նրանց սահմանել _քանակը հավասար 0-ի», - ասվում է Certik-ի դիահերձման մեջ: «0 քանակի դեպքում ընդհանուրԳինը նույնպես 0 է, քանի որ ընդհանուրԳինը = _pricePerItem * _quantity: Սա նշանակում է, որ հարձակվողը ոչինչ չի վճարել իրենց «գնած» NFT-ների համար: Քանի որ պահանջ չկա, որ _quantity > 0, ֆունկցիան աշխատում է նորմալ: Այս սխալը կարող է լուծվել՝ պահանջելով 0-ից մեծ արժեք _quantity փոփոխականի համար»:

Բացի այդ, Certik-ի վերլուծությունը Treasure DAO-ի իրավիճակի վերաբերյալ նշում է, որ արձանագրության բնիկ նշանը MAGIC-ը կորցրեց ավելի քան 40% կորուստ ԱՄՆ դոլարի նկատմամբ: Treasure DAO-ի համահիմնադիր Ջոն Պատենը նույնպես tweeted Հարձակվողի կողմից դրամական միջոցները հափշտակելուց հետո տեղի ունեցած իրադարձության մասին. «Գանձերի շուկան շահագործվում է։ Խնդրում ենք հեռացնել ձեր իրերը: Մենք կհոգանք շահագործման ծախսերը. ես անձամբ կհրաժարվեմ իմ բոլոր Smols-ներից՝ դա վերանորոգելու համար», - ասաց Պատենը: Treasure DAO-ի համահիմնադիրն ավելացրել է.

Ես չեմ կարող հասկանալ, թե ինչ ենթամարդկային թիրախ է թալանելու արդար մեկնարկային շուկան, բայց նրանք չեն հաղթի համայնքին:

Certik-ը ասում է, որ շարունակական շղթայական վերլուծությունը և նախնական տեղակայման աուդիտները կարող են զսպել ապագա բլոկչեյն արձանագրության շահագործումները

Certik-ի անվտանգության վերլուծաբաններն ասում են, որ ոչ ոք չգիտի, թե ով է կանգնած այս շահագործման հետևում, բայց ավելացրել են, որ շատ օգտատերեր «ուղղակի ուրախ են, որ իրենց գողացված NFT-ները վերադարձվեն»: Ընկերության կողմից ստեղծված իրավիճակի հետմահու ամփոփումը եզրափակում է՝ ավելացնելով, որ զգալի կորուստներ կարող են լինել պարզապես մեկ տող կոդի շահագործման դեպքում: Ընկերությունը սրտանց հավատում է, որ կոնկրետ բլոկչեյն արձանագրությունների շղթայական մոնիտորինգը և նախքան տեղակայման աուդիտները կարող են օգնել կասեցնել ապագա խոցելիությունները:

«Այս հաքը ևս մեկ անգամ ընդգծում է միլիոն դոլար արժողությամբ հետևանքները, որոնք կարող են ունենալ կոդի մեկ տող», - եզրափակում է Certik-ի զեկույցը: «Նախքան տեղակայման մանրակրկիտ աուդիտը, որը զուգորդվում է շարունակական շղթայական վերլուծության հետ, Web3 նախագծերի համար լավագույն միջոցն է՝ ցույց տալու իրենց նվիրվածությունը անվտանգությանը և վստահեցնելու իրենց հաճախորդներին, որ իրենց միջոցները ապահով են»:

Հատկորոշիչներ այս պատմության մեջ
100 NFT, Arbitrum, Arbitrum Chain, հարձակվող, Blockchain անվտանգություն, bug Treasure DAO, certik, Certik վերլուծություն, Certik postmortem, Certik Security, Hack, Hacker, John Patten, MAGIC, Magic token, nft, NFT hack, NFT Market, NFT շուկա, NFTs, Treasure DAO, Treasure DAO bug, Treasure DAO exploit, Treasure DAO hack, Web3 նախագծեր

Ի՞նչ կարծիքի եք Treasure DAO-ի հարձակման և Certik-ի հետմահու զեկույցի մասին: Տեղեկացրեք մեզ, թե ինչ եք մտածում այս թեմայի վերաբերյալ ստորև բերված մեկնաբանությունների բաժնում:

Ieեյմի Ռեդման

Ջեյմի Ռեդմենը Bitcoin.com News-ի նորությունների առաջատարն է և Ֆլորիդայում բնակվող ֆինանսական տեխնոլոգիաների լրագրող: Ռեդմենը կրիպտոարժույթների համայնքի ակտիվ անդամ է 2011 թվականից: Նա կիրք ունի բիթքոյնով, բաց կոդով և ապակենտրոնացված հավելվածներով: 2015 թվականի սեպտեմբերից Redman-ը գրել է ավելի քան 5,000 հոդված Bitcoin.com News-ի համար այսօր ի հայտ եկած խափանող արձանագրությունների մասին:




Պատկեր վարկերShutterstock, Pixabay, Wiki Commons

Հրաժարում պատասխանատվությունիցԱյս հոդվածը միայն տեղեկատվական նպատակներով է: Դա ուղղակի գնելու կամ վաճառելու առաջարկի ուղղակի առաջարկ չէ կամ խնդրանք է, կամ որևէ արտադրանքի, ծառայությունների կամ ընկերությունների առաջարկություն կամ հաստատում: Bitcoin.com- ը չի տրամադրում ներդրումային, հարկային, իրավական կամ հաշվապահական խորհրդատվություն: Ոչ ընկերությունը, ոչ էլ հեղինակը պատասխանատվություն չեն կրում ուղղակիորեն կամ անուղղակիորեն որևէ վնասի կամ կորստի համար, որը պատճառվել է կամ ենթադրվում է, որ դա պատճառվել է սույն հոդվածում նշված որևէ բովանդակության, ապրանքների կամ ծառայությունների վրա որևէ նյութի օգտագործման կամ ապավինելու հետ:

Աղբյուր՝ https://news.bitcoin.com/attacker-hacks-arbitrums-treasure-dao-for-over-100-nfts-by-leveraging-marketplace-exploit/